蘋果電郵應用驚現安全漏洞！或被黑客利用了八年

網易科技訊 4月23日消息，據外媒報道，美國網絡安全公司ZecOps的研究人員于當地時間周三宣布，他們在蘋果iPhone和iPad的電子郵件應用程序中發現了兩個零日漏洞。

研究人員說，這兩個漏洞的變體甚至可以追溯到2012年發布的iOS 6身上，這意味著黑客已經利用它們對iPhone和iPad用戶進行了長達八年的攻擊。如果設備被感染，用戶甚至不知道他們正在被黑客攻擊。

第一個漏洞允許黑客通過發送消耗大量內存的電子郵件來感染iOS設備，它本身并不會給用戶帶來太大風險，只允許攻擊者泄露、修改或刪除電子郵件。但它們在即便是最新版本的iOS中也依然有效，黑客利用郵件應用程序可以訪問的任何內容，包括機密消息。

第二個漏洞則利用蘋果的MobileMail和Mailid進程來運行遠程代碼。與另一種內核攻擊(如無法打補丁的Checkm8漏洞)相結合，這個漏洞可能會允許攻擊者以超級用戶身份訪問特定目標設備。

ZecOps在其報告中發現，有些客戶已經成為目標。有趣的是，雖然有證據表明這些漏洞是在目標設備上執行的，但電子郵件本身并不存在危險。這表明襲擊者刪除這些電子郵件是為了掩蓋他們的蹤跡。

安全研究人員表示，與其他黑客相比，該漏洞相對來說還不夠完善，這意味著經驗豐富的攻擊者可能會認為，使用該漏洞對付重要目標風險太大。

盡管如此，ZecOps指出，使用這些漏洞的攻擊可能會增加，因為它們現在被公開披露，這意味著正常用戶最終也可能成為攻擊目標。如果利用這些漏洞的網絡犯罪分子可以利用額外的漏洞，那么這種情況就會變得更加危險。

這些漏洞只影響本地郵件應用程序，而不影響第三方應用程序。為了降低遭到攻擊的風險，ZecOps建議用戶在發布補丁之前停止使用iOS和iPadOS上的Mail，轉而使用第三方電郵應用。

ZecOps表示，它在2月份提醒蘋果注意這些漏洞。自那以后，這兩個漏洞都已經在iOS 13的最新測試版中得到了修復，iOS和iPadOS 13.4.5的下一次公開發布的iOS更新中也將添加補丁。（小小）